Очередной Rootkit

**Eone87** · 20.05.2010, 12:02

Удалось сделать только лог GMER и лог AVZ Syschek.
В безопасном режиме комп не грузится. Пытался написать сам скрипт для AVZ, но после его выполнения после загрузки винды в момент выбора пользователя появляется экран смерти. Грузится только с последней рабочей конфигурацией.
Помогите, пожалуйста.
Вложение 239312
Вложение 239313

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**DefesT** · 20.05.2010, 12:20

Отключите компьютер от интернета, а также антивирус и/или файрвол.
Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\winupd01.exe');
 QuarantineFile('advpack.dll','');
 QuarantineFile('C:\RELEASE\DEBUG\ghx.exe','');
 QuarantineFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe','');
 QuarantineFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe','');
 DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
 QuarantineFile('C:\windows\System32\Drivers\sytpwncl.sys','');
 QuarantineFile('C:\windows\system32\drivers\protect.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\protecty.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectt.sys','');
 QuarantineFile('C:\windows\System32\DRIVERS\protectr.sys','');
 QuarantineFile('C:\windows\System32\DRIVERS\protectq.sys','');
 QuarantineFile('C:\windows\System32\DRIVERS\protectj.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\protecti.sys','');
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\protectd.sys','');
 QuarantineFile('C:\windows\System32\DRIVERS\protecta.sys','');
 QuarantineFile('c:\windows\system32\winupd01.exe','');
 SetServiceStart('protecty', 4);
 SetServiceStart('protectt', 4);
 SetServiceStart('protectr', 4);
 SetServiceStart('protectq', 4);
 SetServiceStart('protectj', 4);
 SetServiceStart('protecti', 4);
 SetServiceStart('protectd', 4);
 SetServiceStart('protecta', 4);
 DeleteService('protecty');
 DeleteService('protectt');
 DeleteService('protectr');
 DeleteService('protectq');
 DeleteService('protectj');
 DeleteService('protecti');
 DeleteService('protectd');
 DeleteService('protecta');
 DeleteService('protect');
 DeleteService('sytpwncl');
DelCLSID('67XOR2B0-3GMC-89VV-JIJ1-32KL5R3423144');
DelCLSID('67KLN5K0-4OPM-00WE-AAX5-77EF1D187463');
DelCLSID('67KLN5K0-4OPM-00WE-AAX5-27EF1D187263');
 DeleteFile('c:\windows\system32\winupd01.exe');
 DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
 DeleteFile('C:\windows\System32\DRIVERS\protecta.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\protectd.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\protecti.sys');
 DeleteFile('C:\windows\System32\DRIVERS\protectj.sys');
 DeleteFile('C:\windows\System32\DRIVERS\protectq.sys');
 DeleteFile('C:\windows\System32\DRIVERS\protectr.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\protectt.sys');
 DeleteFile('C:\WINDOWS\System32\DRIVERS\protecty.sys');
 DeleteFile('C:\windows\System32\Drivers\sytpwncl.sys');
 DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
 DeleteFile('C:\EQUITY\Q-5-6-99-222222CCCC-333333333333-7777777777-111\Fix.exe');
 DeleteFile('C:\PLAIN\G-2-3-45-111111BBBB-222222222222-6666666666-000\Mix.exe');
 DeleteFile('C:\RELEASE\DEBUG\ghx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('sytpwncl');
BC_Activate;
ExecuteRepair(9);
ExecuteRepair(10);
ExecuteRepair(13);
ExecuteWizard('TSW',2,2,true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Сделайте новые логи по правилам (virusinfo_syscure.zip, virusinfo_syscheck.zip и hijackthis.log)

**Eone87** · 20.05.2010, 14:19

Всё сделал.
Вложение 239365
Вложение 239366
Вложение 239367

**DefesT** · 20.05.2010, 14:31

Пофиксите в Hijackthis:

Код:

R3 - URLSearchHook: (no name) -  - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

Закройте все программы, выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\RECYCLER\S-1-5-21-725345543-1897051121-839522115-1003\Dc70.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-725345543-1897051121-839522115-1003\Dc76.exe');
 DeleteFile('C:\Documents and Settings\Пользователь\Application Data\Microsoft\zycafala.exe');
 DeleteFile('C:\WINDOWS\system32\csrcs.exe');
 DeleteFile('C:\windows\services.exe ');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('yaai14y2w7a');
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится! Сделайте новые логи

**Eone87** · 20.05.2010, 15:43

Прикрепляю новые логи.
Вложение 239390
Вложение 239391
Вложение 239392

**DefesT** · 21.05.2010, 11:22

Плохого не видно, что с проблемой?

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Рекомендуется установить Service Pack 3 с последними обновлениями (может потребоваться активация!). Обновите Internet Explorer до 8 версии, даже, если Вы не используете его, как браузер. Обновите Adobe Reader. Также рекомендую скачать и просканировать системный диск AVPTool'ом. Возможно будут найдены остаточные вирусы.

**Eone87** · 21.05.2010, 11:51

Огромное спасибо. Проблем не осталось. Выполню все рекомендации.

**CyberHelper** · 22.05.2010, 11:51

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 51
В ходе лечения обнаружены вредоносные программы:
1. c:\documents and settings\пользователь\application data\microsoft\doozudopood.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
2. c:\documents and settings\пользователь\application data\microsoft\mozo.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
3. c:\documents and settings\пользователь\application data\microsoft\zycafala.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
4. c:\documents and settings\пользователь\application data\oabws.exe - Net-Worm.Win32.Kolab.ijs ( DrWEB: Trojan.MulDrop1.20039, BitDefender: Worm.Generic.242380, AVAST4: Win32:Malware-gen )
5. c:\documents and settings\пользователь\btga.exe - Backdoor.Win32.Cetorp.ib ( DrWEB: BackDoor.Tofsee, AVAST4: Win32:Malware-gen )
6. c:\recycler\s-1-5-21-725345543-1897051121-839522115-1003\dc70.exe - not-a-virus:Monitor.Win32.KGBSpy.jw ( AVAST4: Win32:Spambot-EL [Trj] )
7. c:\recycler\s-1-5-21-725345543-1897051121-839522115-1003\dc76.exe - Trojan.Win32.FraudPack.asse ( BitDefender: Trojan.Generic.3853407, AVAST4: Win32:Spambot-EL [Trj] )
8. c:\windows\explorer.exe:userini.exe:$data - Trojan.Win32.FraudPack.asse ( BitDefender: Trojan.Generic.3853407, AVAST4: Win32:Spambot-EL [Trj] )
9. c:\windows\services.exe - Email-Worm.Win32.Joleee.eum ( DrWEB: Trojan.Spambot.3531, BitDefender: Trojan.Generic.3946020, NOD32: Win32/TrojanProxy.Small.NCA trojan, AVAST4: Win32:Bredolab-DH [Trj] )
10. c:\windows\system32\drivers\protecta.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
11. c:\windows\system32\drivers\protectd.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
12. c:\windows\system32\drivers\protecti.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
13. c:\windows\system32\drivers\protectj.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
14. c:\windows\system32\drivers\protectq.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
15. c:\windows\system32\drivers\protectr.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
16. c:\windows\system32\drivers\protectt.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
17. c:\windows\system32\drivers\protecty.sys - Backdoor.Win32.Agent.avbz ( DrWEB: Trojan.Proxy.15396, BitDefender: Trojan.Generic.3869094, AVAST4: Win32:Rootkit-gen [Rtk] )
18. c:\windows\system32\mozo.exe - Trojan-Dropper.Win32.Vidro.acs ( DrWEB: Trojan.WinSpy.711, BitDefender: Gen:Variant.Zbot.7, AVAST4: Win32:Bamital-T [Drp] )
19. c:\windows\system32\userini.exe - Packed.Win32.Krap.gy ( AVAST4: Win32:Spambot-EL [Trj] )
20. c:\windows\system32\winupd01.exe - Net-Worm.Win32.Kolab.hug ( DrWEB: BackDoor.IRC.Bot.267, BitDefender: Trojan.VB.Agent.FC, AVAST4: Win32:Malware-gen )

Очередной Rootkit (заявка № 78880)

Опции темы

Очередной Rootkit

Итог лечения

Похожие темы

Очередной Internet.com

очередной internet.com

Rootkit.HiddenValue@0 и Rootkit.HiddenKey@0 Вирусы?

очередной раз про synsenddrv.sys

Rootkit that bypasses Anti-Rootkit Software

Ваши права в разделе